Superintendência Estadual de Tecnologia da Informação e Comunicação - SETIC

Portaria nº 18 de 08 de fevereiro de 2022

O SUPERINTENDENTE ESTADUAL DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - SETIC, no uso de suas atribuições legais, conferidas pelo Decreto de 01/01/2019, publicado no DOE n. 001, de 03/01/2019, bem como o art. 114-A da Lei Complementar Estadual nº 965, de 20 de dezembro de 2017;

CONSIDERANDO o art. 114-A, da Lei Complementar de Rondônia nº 965, de 20 de dezembro de 2017, que dispõe sobre a organização e estrutura do Poder Executivo do Estado de Rondônia, elencando, dentre seus objetos, as competências desta SETIC, especialmente no que se refere aos incisos I, II, VI e XII;

CONSIDERANDO a Portaria SETIC/RO nº 97, de 9 de junho de 2021, que institui a Política de Segurança da Informação (PSI) da SETIC, especialmente seu art. 10 que cria a Comissão Permanente de Segurança da Informação (CPSI);

RESOLVE

Art. 1º Ficam definidos os requisitos mínimos para a criação de máquina virtual no ambiente de infraestrutura da rede de computadores da Superintendência Estadual de Tecnologia da Informação e Comunicação do Estado de Rondônia - SETIC/RO, nos termos desta Portaria

Art. 2º Para efeitos desta Portaria, considera-se:

1. máquina virtual: também chamada de virtual machine (VM), são computadores feitos de software com a mesma funcionalidade que os computadores físicos, que executam aplicativos e sistema operacional;
2. backup: conjunto de procedimentos que permite salvaguardar os dados de um sistema computacional, garantindo guarda, proteção e recuperação;
3. chamado: solicitação de serviço;
4. dado pessoal: informação relacionada à pessoa natural identificada ou identificável;
5. firewall de borda: ferramenta para evitar acesso não autorizado, tanto na origem quanto no destino, a uma ou mais redes de computadores;
6. GLPI: Gestionnaire Libre de Parc Informatique, a plataforma virtual de gestão de ativos e serviços de tecnologia da informação da SETIC/RO, com acesso mediante o link ;
7. snapshot: registro do estado de um arquivo, aplicação ou sistema em um certo ponto no tempo;
8. zonas de domínio: registros de configuração que determinam como será o comportamento específico de um domínio;
9. infraestrutura da rede de computadores: tipo de serviço de computação em nuvem no qual a SETIC oferece ao cliente a capacidade de criar redes virtuais em seu ambiente de computação, permitindo que o cliente defina sua estrutura da rede e selecione softwares e sistemas operacionais para instalar em máquinas virtuais.

Art. 3º A solicitação para criação de máquina virtual será realizada por meio do sistema GLPI, com a abertura de chamado do tipo denominado "Criação de máquina virtual".

Art. 4º A solicitação para criação de máquina virtual, para ser aprovada, deverá ser realizada por pessoal previamente autorizado pelo Titular da pasta e cadastrado na base de registro do GLPI da SETIC/RO com perfil de acesso adequado para tanto.

Parágrafo único. A solicitação de perfil de acesso no GLPI para criação de máquina virtual será formulada por meio de chamado no próprio GLPI, e instruída com a autorização específica devidamente assinada pelo Titular da pasta.

Art. 5º Os requisitos mínimos para a criação de máquina virtual são:

1. nome do solicitante, este previamente cadastrado e autorizado, na forma do artigo 4º;
2. telefone de contato do solicitante;
3. órgão e setor que utilizará a máquina virtual;
4. nome do(s) usuário(s) que acessará(ão) a máquina virtual no modo Administrador;
5. identificação do sistema operacional que será utilizado;
6. quantidade de núcleos de processador, memória RAM e armazenamento em disco;
7. justificativa para a criação da máquina virtual; e
8. termo de responsabilidade.

Art. 6º Cumulativamente aos requisitos listados no artigo 5º desta Portaria, será igualmente observado, quanto ao sistema operacional e softwares instalados:

1. a utilização das mais recentes versões, estáveis;
2. a apresentação, pelo solicitante, da licença já adquirida, caso o sistema seja proprietário;
3. atualização de software quinzenal automatizada, procurando evitar que vulnerabilidades sejam expostas, sob responsabilidade do solicitante;
4. a responsabilidade pelo acesso, configuração e guarda de logs, que caberá ao solicitante ou ao órgão responsável pela máquina virtual;
5. o solicitante ou órgão responsável pela máquina virtual deverá desabilitar ou remover interfaces, portas, dispositivos ou serviços desnecessários, bem como configurar a máquina virtual de forma segura, aplicando, sempre que possível, esquemas de criptografia para acesso, armazenamento, troca de informações e outros;
6. conformidade com a legislação e demais normas internas e externas ao Governo do Estado de Rondônia, incluindo o cumprimento das exigências da Lei Federal nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação - LAI), e da Lei Federal nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD);
7. utilização para finalidades a bem do interesse público estritamente vinculadas aos motivos da justificativa da solicitação de criação.

Art. 7º O acesso à máquina virtual será realizado remotamente, por meio de instruções fornecidas ao solicitante.

Art. 8º Sob nenhuma hipótese as credenciais de acesso poderão ser repassadas a terceiros ou a servidores que não sejam os responsáveis por aquele recurso computacional.

Art. 9º A SETIC se reserva o direito de manter um usuário de configuração nas máquinas virtuais hospedadas em seu ambiente, para verificações periódicas e configurações de segurança previamente informadas ao responsável por aquele recurso computacional.

Art. 10. Será de inteira responsabilidade do requerente ou do órgão responsável pela máquina virtual as manutenções lógicas na mesma, e para tanto terão livre acesso para realizar a instalação de serviços e manutenções necessárias, incluindo a gestão de mudanças, aplicação de atualizações, manutenções e outras, devendo cumprir com a Política de Segurança da Informação (Portaria nº 97/2021) e com a Política de Privacidade (Portaria nº 55/2021), ambas da SETIC/RO.

§ 1º A SETIC/RO realizará testes de prevenção, incluindo análise de vulnerabilidades, notificando imediatamente o requerente ou o órgão responsável pela máquina virtual sobre eventuais riscos e incidentes de segurança da informação.

§ 2º O requerente ou o órgão responsável pela máquina virtual deverá aplicar as correções necessárias para mitigar ou resolver definitivamente os riscos apurados nos testes de prevenção ou análise de vulnerabilidades.

§ 3º Os dados pessoais que eventualmente forem tratados na máquina virtual serão de inteira responsabilidade do requerente ou do órgão requisitante, ficando a SETIC/RO adstrita ao fornecimento e disponibilidade do serviço de virtualização.

Art. 11. Caberá à SETIC/RO a aplicação de medidas de segurança e de controles na rede de computadores vinculada à máquina virtual, como a manutenção de firewall de borda, balanceamento de acesso aos serviços e criação de zonas de domínio para publicação e acesso pela rede mundial de computadores.

Art. 12. A SETIC/RO realizará snapshots da máquina virtual a cada 7 (sete) dias, contados da sua efetiva criação, mantendo no máximo 3 (três) cópias, não isentando, entretanto, a responsabilidade do requerente ou do órgão pela realização de seus próprios backups, conforme necessidade.

Parágrafo único. Em servidores de arquivos da plataforma Windows, serão mantidas cópias de sombra dos arquivos pelo período máximo de 3 (três) dias, para rápida recuperação.

Art. 13. A SETIC/RO coletará dados gerais sobre o uso de recursos computacionais (uso de processadores, memória RAM, armazenamento em disco, tráfego de rede, etc.) da máquina virtual com intuito de fornecer, manter e melhorar os serviços correlatos e desenvolver índices estatísticos.

Art. 14. A SETIC/RO não se responsabilizará por indisponibilidades, perdas de conteúdo, quedas de energia, falhas de sistemas, incidentes de segurança, qualidade de funcionamento, adequações às exigências legais, violações de dados ou demais interrupções decorrentes da má configuração do sistema operacional ou dos softwares instalados na máquina virtual, bem como de fatores externos às responsabilidades da SETIC/RO.

Art. 15. A SETIC/RO se reserva o direito de analisar o uso de recursos da máquina virtual e reduzir seu hardware quando houver sub-utilização do mesmo, bem como desligar a instância quando não houver utilização do recurso.

Art. 16. A SETIC/RO se reserva o direito de suspender de imediato, preventivamente, ou desligar a máquina virtual, caso a sua utilização infrinja ou apresente risco de potencial infração aos termos desta Portaria ou da legislação aplicável.

Art. 17. Esta Portaria entra em vigor na data de sua publicação.

Publique-se. Registre-se. Cumpra-se.